Passwörter – bald Vergangenheit?

News

Bildquelle: Dima Berlin (Adobe Stock)

12/07/2022 | Cybersicherheit | Digitale Prozesse und Automatisierung

Passwortlose Anwendungen bieten Potenziale für Wirtschaftsprüfende und werfen Fragen zur Cybersicherheit auf

Wer hat nicht schon gehadert mit Passwörtern – so wichtig sie für die IT-Sicherheit sind, so lästig ist es, sie zu verwalten. Bald könnten sie der Vergangenheit angehören, wie die großen Internetfirmen mitteilen. Das eröffnet auch für die tägliche Arbeit von Wirtschaftsprüfer*innen neue Potenziale. Wie funktioniert die passwortlose Welt und wie ist es dort um die Cybersicherheit bestellt?

Bereits im kommenden Jahr werden alle großen Plattformanbieter passwortlose Systeme zur Verfügung stellen, die geräte- und plattformübergreifend nutzbar sind – dies kündigen Google, Apple und Microsoft an. Auch für Wirtschaftsprüfer*innen gilt es, die Entwicklungen zu beobachten, sich damit auseinanderzusetzen und einzuschätzen, ob die neuen Lösungen sowohl die Anforderungen an die IT-Sicherheit erfüllen als auch für die eigene Kanzlei praktikabel sind.

Apple, Google und Microsoft arbeiten daran, die Passwörter abzuschaffen und durch eine andere sichere Methode zu ersetzen. Beim Zugang zu Konten und Geräten setzen die Tech-Konzerne auf Sicherheits-Standards, die von der FIDO-Allianz und vom World Wide Web Consortium entwickelt worden sind.

So funktioniert die passwortlose Welt

Bereits heute unterstützen die gängigen Betriebssysteme die Standards der FIDO-Allianz und integrieren einen „Anmeldeinformationen-Manager“. Dieser ähnelt einem Passwort-Manager, aber er speichert statt Passwörtern nur kryptografische Schlüssel, die so genannten Passkeys. Der private Passkey verbleibt auf dem Gerät und ist durch die Gerätesperre geschützt, der öffentliche kann von den Online-Diensten abgerufen werden und ist mit dem Nutzerkonto verbunden.

Wenn Sie sich bei einem Online-Dienst oder bei einer App registrieren, wird der Passkey auf Ihrem Mobiltelefon gespeichert. Gegenüber dem Online-Dienst identifizieren Sie sich, indem Sie Ihr Mobiltelefon auf die übliche Art entsperren (Fingerabdruck, Gesichtsscan, Pin oder Passwort).

Der entscheidende Vorteil dieser Methode gegenüber herkömmlichen Passwörtern besteht darin, dass der Login gerätegebunden ist und das Gerät vorher registriert wurde. Ist der Nutzer in der Lage, das Gerät zu entsperren, sendet das Gerät eine Bestätigung, ohne sensible Daten wie Passwörter nach außen zu übermitteln. Diese Methode gilt als sicherer als die Zwei-Faktor-Authentifizierung.

Phishing verhindern

Wo kein Passwort ist, kann keines entwendet werden: Phishing-Attacken zu unterbinden ist ein unschätzbarer Vorteil der passwortlosen Welt. Denn heutzutage stellen sie ein großes Bedrohungspotenzial dar und nutzen häufig als Einfallstor die „Schwachstelle Mensch“ – siehe dazu unseren Artikel "Wichtiger denn je - Cybersicherheit".

Benutzerfreundlichkeit gibt den Ausschlag

Die FIDO Alliance befasst sich seit Jahren mit Fragen der sicheren Authentifizierung. In ihr vertreten sind Chiphersteller, Plattformentwickler wie Amazon und Meta, Finanzinstitute, aber auch die großen Betriebssysteme Google, Microsoft und Apple und Behörden wie das Bundesamt für Sicherheit in der Informationstechnik. Dabei geht es nicht nur um die technische Umsetzung: Neue Lösungen müssen auch benutzerfreundlich sein. Denn wer Passwörter abschaffen will, greift damit direkt in die DNA des Internets ein und hat demgemäß große Widerstände zu überwinden: Zwar liebt wohl niemand seine Passwörter, aber immerhin stellen sie ein Übel dar, das den Nutzern bekannt und geläufig ist. „Es sollte einfacher sein, kein Passwort zu verwenden, als ein Passwort zu verwenden“, bringt Andrew Shikiar, Executive Director der FIDO Alliance, die Herausforderung auf den Punkt.

Der Wechsel auf das neue Handymodell, die Nutzung mehrerer Geräte von Laptop über Tablet bis Desktop, welche eventuell auch noch in unterschiedlichen Browsern und Betriebssystemen laufen – dies sind die Herausforderungen, für die passwortlose Systeme praxistaugliche Antworten finden müssen, um erfolgreich zu sein. Dabei ist man nun einen bedeutenden Schritt weitergekommen.

Die Zukunft ist geräte- und plattformübergreifend

Bisher müssen sich die Nutzer*innen mit jedem Gerät bei jedem Konto und jeder App anmelden, um die passwortlose Funktion zu nutzen.

Künftig wird man auf den FIDO Passkey auch auf vielen neuen Geräten zugreifen können, ohne dass man sich für jedes Konto neu anmelden muss, so meldet Apple.

Eine weitere Neuerung besteht darin, dass man sich mit der Anmeldung am Mobilgerät auch bei einem Online-Dienst auf einem Gerät in der Nähe anmelden kann, unabhängig von der Plattform des Betriebssystems und dem verwendeten Browser. Da diese Technologie auf der unmittelbaren physischen Nähe von Geräten basiert, sei das Konzept weiterhin praktisch sicher vor Phishing, so FIDO in seinem Whitepaper.

Voraussichtlich ab dem kommenden Jahr werden Passkeys auf allen Plattformen von Microsoft, Apple und Google verfügbar sein, wie Microsoft mitteilt. Dann können sich Nutzer*innen beispielsweise mit einem Passkey auf einem Apple-Gerät beim Google Chrome-Browser anmelden, der auf Microsoft Windows läuft.

Menü

Menü